Zero Trust Network Access
Mehr Sicherheit im Netzwerk
Fortsetzung des Artikels von Teil 1
Trust Broker als Vermittler
Das ZTNA-Prinzip basiert in der Regel auf einem Trust Broker, der zwischen dem Nutzer und dem Ziel der Kommunikation – also einer Anwendung, einer Funktion oder einem Dienst – den Kontakt sicherstellt. Der Broker steht in der Regel als Cloud-Dienst zur Verfügung, oder das Unternehmen hostet ihn für bestimmte Anforderungen im eigenen Netzwerk. Da der Zugriff nicht direkt auf der Netzschicht erfolgt, sondern von dieser entkoppelt ist, können die beteiligten Nutzer nicht erkennen, welche IP-Adressen zur Erreichung einzelner Ziele wie Applikationen Verwendung finden. Der Broker stellt sicher, dass nur bestimmte Anwendungen und nicht zum Beispiel ganze Server oder Netzwerke für einen Benutzer zugänglich sind. Die Sicherheitsmechanismen eines ZTNA-geschützten Netzes greifen nicht nur bei der Erstauthentifizierung, sondern sorgen auch für die laufende Überwachung im Hinblick auf Änderungen der vom Broker definierten Richtlinien. Damit fungiert der Broker sozusagen als Gatekeeper und Zentralinstanz in Sachen Sicherheit. Im Fall einer Anomalie reagiert die ZTNA-Software und begegnet der Bedrohung mit automatisierten Anpassungsprozessen: Hat sie ein Sicherheitsrisiko erkannt, unterbricht sie die Verbindung zwischen dem Client und dem Kommunikationsziel sofort.
Zu den agentenbasierten Varianten, die mit einem Trusted Broker arbeiten, kommen ZTNA-Lösungen, die ohne zusätzliche Software fungieren. Diese sind meist für nicht gemanagte Endgeräte und damit vor allem für Drittparteien wie Partner- oder Kundenunternehmen von besonderem Interesse. Sie sind jedoch beschränkt auf Web-basierte Anwendungen über HTTPS und Protokolle wie SSH oder RDP over HTTP. In puncto Implementierung sind sowohl Cloud-basierte oder „ZTNA as a Service“-Angebote als auch Stand-alone-Lösungen möglich. Bei Stand-alone-Ansätzen muss das Unternehmen alle ZTNA-Elemente am Rand seiner Systemlandschaft selbst erstellen und verwalten, um sichere Verbindungen zwischen dem Client und dem Kommunikationsziel zu vermitteln. Cloud-basierte Trust-Broker haben den Vorteil, dass sich die Sicherheitsfunktionen nahe bei den Benutzern, Endpunkten und Anwendungen platzieren lassen. Denn die Endpunkte eines ZTNA-Tunnels befinden sich zunehmend außerhalb von perimeterbasierten Sicherheitsinstanzen wie Firewalls, insbesondere bei verteilten (oft global verteilten) Unternehmens- und IT-Strukturen.
- Mehr Sicherheit im Netzwerk
- Trust Broker als Vermittler
- Unterschied zum VPN
Lesen Sie mehr zum Thema
